思科 EoL S系列路由器中的严重漏洞但不会发布修补程序

思科警告存在一个严重漏洞，跟踪为 CVE-2023-20025（CVSS 分数为 9.0），该漏洞会影响小型企业 RV016、RV042、RV042G 和 RV082 路由器。这家IT巨头宣布，这些设备将不会收到任何安全更新来解决该错误，因为它们已达到生命周期（EoL）。

该漏洞是存在于攻击者路由器的基于 Web 的管理界面中的身份验证绕过问题。未经身份验证的远程攻击者可利用 CVE-2023-20025 缺陷绕过易受攻击设备上的身份验证。该缺陷是由于未正确验证传入 HTTP 数据包中的用户输入所致。攻击者可通过向基于 Web 的管理界面发送特制的 HTTP 请求来触发该缺陷。“成功利用此漏洞可使攻击者绕过身份验证并获得底层操作系统上的根访问权限。”“思科没有也不会发布解决此漏洞的软件更新。没有解决此漏洞的解决方法。

这家通信技术公司表示，没有解决方法可以修复此缺陷，但是，管理员可以禁用远程管理并阻止对端口443和60443的访问。

思科还解决了跟踪为CVE-2023-20026（CVSS得分6.5）的远程命令执行漏洞，该漏洞影响思科S系列RV016、RV042、RV042G和RV082路由器。

“此漏洞是由于未正确验证传入HTTP数据包中的用户输入所致。攻击者可通过向基于 Web 的管理界面发送构建的 HTTP 请求来利用此漏洞。“成功的利用此漏洞可能允许攻击者获得根级权限并访问未经授权的数据。要利用此漏洞，攻击者需要在受影响的设备上拥有有效的管理凭据。

思科也不会发布解决此漏洞的软件更新，它还提供与解决CVE-2023-20025相同的缓解措施。PSIRT公司意识到这些缺陷的概念验证漏洞利用代码的可用性。思科 PSIRT 未发现任何恶意使用本通报中描述的漏洞的行为。

原文始发于微信公众号（黑猫安全）：思科 EoL S系列路由器中的严重漏洞但不会发布修补程序